Nitrokey-Speicher FAQ¶
Da es sich beim Nitrokey Storage 2 im Wesentlichen um einen Nitrokey Pro 2 mit einem nichtflüchtigen (verschlüsselten) Speicher handelt, gilt teilweise auch das Nitrokey Pro 2 FAQ.
- Q: Which Operating Systems are supported?
Windows, Linux und macOS.
- Q: What can I use the Nitrokey for?
Siehe die Übersicht der unterstützten Anwendungsfälle.
- Q: What are the default PINs?
Benutzer-PIN: „123456“
Administrator-PIN: „12345678“
Firmware-Kennwort: „12345678“
Wir empfehlen dringend, diese PINs/Passwörter vor der Verwendung des Nitrokeys in benutzerdefinierte Werte zu ändern.
- Q: How large is the storage capacity?
Nitrokey Storage kann 8, 32 oder 64 GB an Daten speichern und verschlüsseln (abhängig vom jeweiligen Modell).
- Q: Why can’t I access the encrypted storage on a new Nitrokey Storage?
Bevor Sie auf einem neuen Nitrokey-Speichergerät auf den verschlüsselten Datenträger zugreifen können, stellen Sie sicher, dass Sie zuerst „Verschlüsselte Daten zerstören“ in der Nitrokey-App eingeben.
- Q: What is the maximum length of the PIN?
Nitrokey verwendet PINs anstelle von Passwörtern. Der Hauptunterschied besteht darin, dass die Hardware die Anzahl der Versuche auf drei begrenzt, während es bei Passwörtern kein Limit gibt. Aus diesem Grund ist eine kurze PIN immer noch sicher und es besteht keine Notwendigkeit, eine lange und komplexe PIN zu wählen.
Nitrokey Storage’s PINs können bis zu 20 Ziffern lang sein und können aus Zahlen, Buchstaben und Sonderzeichen bestehen. Hinweis: Bei Verwendung von GnuPG oder OpenSC können 32 Zeichen lange PINs verwendet werden, die jedoch von Nitrokey App nicht unterstützt werden.
- Q: What is the User PIN for?
Die Benutzer-PIN ist mindestens 6-stellig und wird verwendet, um Zugriff auf den Inhalt des Nitrokeys zu erhalten. Dies ist die PIN, die Sie im täglichen Gebrauch häufig verwenden werden, z. B. zum Entschlüsseln von Nachrichten, zum Entsperren Ihres verschlüsselten Speichers (nur NK Storage) usw.
Die Benutzer-PIN kann bis zu 20 Ziffern und andere Zeichen (z. B. Buchstaben und Sonderzeichen) enthalten. Da die Benutzer-PIN jedoch gesperrt wird, sobald drei falsche PIN-Versuche unternommen wurden, ist eine 6-stellige PIN ausreichend sicher. Die Standard-PIN lautet 123456.
- Q: What is the Admin PIN for?
Die Admin-PIN ist mindestens 8-stellig und wird verwendet, um Inhalte/Einstellungen des Nitrokey zu ändern. D.h. nach der Initialisierung des Nitrokey werden Sie diese PIN wahrscheinlich nicht allzu oft benötigen (z.B. wenn Sie ein weiteres Passwort in den Passwort-Safe des Nitrokey Pro oder Nitrokey Storage eintragen wollen).
Die Admin-PIN kann bis zu 20 Ziffern und weitere Zeichen (z.B. Buchstaben und Sonderzeichen) enthalten. Da die Admin-PIN jedoch gesperrt wird, sobald drei falsche PIN-Versuche unternommen wurden, ist es ausreichend sicher, nur eine 8-stellige PIN zu verwenden. Die Standard-PIN lautet 12345678.
- Q: Why does my Nitrokey Storage hang when switching between nitrokey-app and GnuPG?
GnuPG und die Nitrokey-App neigen manchmal dazu, sich gegenseitig zu übergeben. Dies ist ein bekanntes Problem und kann durch erneutes Einstecken des Nitrokeys in den USB-Steckplatz behoben werden.
- Q: What is the firmware PIN for?
Das Firmware-Passwort sollte den allgemeinen Passwortempfehlungen entsprechen (z.B. Buchstaben, Ziffern und Sonderzeichen verwenden oder ein ausreichend langes Passwort verwenden). Das Firmware-Passwort wird benötigt, um die Firmware des Nitrokey Storage zu aktualisieren. Weitere Anweisungen zum Aktualisierungsprozess finden Sie hier.
Das Firmware-Passwort wird nie gesperrt. Ein Angreifer könnte versuchen, das Passwort zu erraten und hätte unbegrenzte Versuche. Daher müssen Sie ein sicheres Passwort wählen. Das Standardpasswort lautet 12345678.
- Q: How many keys can I store?
Der Nitrokey-Speicher kann drei RSA-Schlüsselpaare speichern. Alle Schlüssel verwenden die gleiche Identität, werden aber für unterschiedliche Zwecke verwendet: Authentifizierung, Verschlüsselung und Signierung.
- Q: How fast is encryption and signing?
Verschlüsselung von 50kiB an Daten:
256 Bit AES, 2048 Bytes pro Befehl -> 880 Bytes pro Sekunde
128 Bit AES, 2048 Bytes pro Befehl -> 893 Bytes pro Sekunde
256 Bit AES, 240 Bytes pro Befehl -> 910 Bytes pro Sekunde
128 Bit AES, 240 Bytes pro Befehl -> 930 Bytes pro Sekunde
- Q: Which algorithms and maximum key length are supported?
Siehe die folgende Tabelle:
Start |
Pro + Storage |
Pro 2 + Storage 2 |
Nitrokey 3 |
HSM |
HSM 2 |
|
rsa1024 |
✓ |
✓ |
✓ |
✓ |
||
rsa2048 |
✓ |
✓ |
✓ |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
✓ |
✓ |
||
rsa4096 |
✓ |
✓ |
✓ |
✓ |
||
curve25519 |
✓ |
✓ |
||||
NIST-P 192 |
✓ |
|||||
NIST-P 256 |
✓ |
✓ |
✓ |
✓ |
||
NIST-P 384-521 |
✓ |
✓ |
||||
Brainpool 192 |
✓ |
✓ |
||||
Brainpool 256-320 |
✓ |
✓ |
✓ |
|||
Brainpool 384-521 |
✓ |
✓ |
||||
secp192 |
✓ |
✓ |
||||
secp256 |
✓ |
✓ |
✓ |
|||
secp521 |
✓ |
- Q: Does the Nitrokey Storage contain a secure chip or just a normal microcontroller?
Nitrokey Storage enthält eine fälschungssichere Smartcard.
- Q: Is the Nitrokey Storage Common Criteria or FIPS certified?
Der Sicherheits-Controller (NXP Smart Card Controller P5CD081V1A und seine wichtigsten Konfigurationen P5CC081V1A, P5CN081V1A, P5CD041V1A, P5CD021V1A und P5CD016V1A, jeweils mit IC-spezifischer Software) ist Common Criteria EAL 5+ zertifiziert bis zur Betriebssystemebene (Zertifizierungsbericht, Sicherheitsvorgaben, Wartungsbericht, Wartungs-ST <https://commoncriteriaportal.org/files/epfiles/0555_ma1b_pdf.pdf>`__). Zusätzlich hat Cure53 ein unabhängiges Sicherheitsaudit der Hardware, Firmware und Nitrokey App durchgeführt.
- Q: How can I use the True Random Number Generator (TRNG) of the Nitrokey Storage for my applications?
Beide Geräte sind mit der OpenPGP-Karte kompatibel, so dass scdrand funktionieren sollte. Dieses Skript könnte nützlich sein. Der Benutzer comio erstellte eine systemd-Datei, um scdrand und damit den TRNG allgemeiner zu nutzen. Er hat auch ein ebuild für Gentoo erstellt.
- Q: How good is the Random Number Generator?
Nitrokey Pro und Nitrokey Storage verwenden einen True Random Number Generator (TRNG) zur Schlüsselerzeugung auf dem Gerät. Die vom TRNG erzeugte Entropie wird für die gesamte Schlüssellänge verwendet. Daher ist der TRNG konform mit BSI TR-03116.
Der TRNG bietet etwa 40 kbit/s.
- Q: How can I use the encrypted mobile Storage?
Bevor Sie den verschlüsselten mobilen Speicher nutzen können, müssen Sie den Nitrokey-Speicher installieren und initialisieren sowie die neueste Nitrokey-App herunterladen.
Starten Sie die Nitrokey-App.
Drücken Sie auf das Tray-Symbol und wählen Sie „Verschlüsselten Datenträger entsperren“ im Menü.
Geben Sie Ihre Benutzer-PIN in das erscheinende Popup-Fenster ein.
Wenn dies das erste Mal ist, müssen Sie möglicherweise eine Partition auf dem verschlüsselten Datenträger erstellen. Windows öffnet ein entsprechendes Fenster und fordert Sie auf, dies zu tun. Unter Linux und Mac müssen Sie möglicherweise einen Partitionsmanager öffnen und manuell eine Partition erstellen. Sie können so viele Partitionen erstellen, wie Sie möchten. Wir empfehlen FAT(32), wenn Sie von verschiedenen Betriebssystemen aus auf die Partition zugreifen möchten.
Nun können Sie den verschlüsselten Datenträger wie jedes andere USB-Laufwerk verwenden. Aber alle darauf gespeicherten Daten werden automatisch in der Nitrokey-Hardware verschlüsselt.
Um das verschlüsselte Volume zu entfernen oder zu sperren, sollten Sie es zunächst aushängen/auswerfen.
Danach können Sie die Verbindung zum Nitrokey trennen oder im Menü der Nitrokey-App die Option „Verschlüsseltes Volume sperren“ wählen.
Der Nitrokey Storage kann auch versteckte Volumes erstellen. Bitte schauen Sie sich die entsprechende Anleitung für versteckte Volumes an.
Versteckte Datenträger ermöglichen es, Daten im verschlüsselten Datenträger zu verstecken. Die Daten werden mit einem zusätzlichen Passwort geschützt. Ohne das Passwort kann die Existenz der Daten nicht nachgewiesen werden. Versteckte Volumes sind standardmäßig nicht so eingerichtet, dass ihre Existenz plausibel geleugnet werden kann. Das Konzept ist ähnlich wie bei VeraCrypt’s/TrueCrypt’s Hidden Volume, aber bei Nitrokey Storage ist die gesamte Funktionalität von Hidden Volumes in Hardware implementiert.
Sie können bis zu vier versteckte Volumes konfigurieren. Einmal freigeschaltet, verhalten sich versteckte Volumes wie normaler Speicherplatz, auf dem Sie verschiedene Partitionen und Dateisysteme erstellen und Dateien nach Belieben speichern können.
Wenn Sie sich entscheiden, Hidden Volumes zu konfigurieren, können Sie den verschlüsselten Speicher nicht mehr verwenden. Da sich das Hidden Volume auf dem freien Speicherplatz des verschlüsselten Speichers befindet, besteht die Möglichkeit, dass Daten im Hidden Volume überschrieben werden. Man kann sagen, dass auch der verschlüsselte Speicher nicht weiß, dass es ein verstecktes Volume gibt. Die allgemeine Struktur ist im folgenden Diagramm dargestellt. Schreiben Sie daher bitte nichts in den verschlüsselten Speicher, nachdem Sie ein verstecktes Volume erstellt haben (Sie müssen es allerdings erst entsperren).
Versteckte Volumes sind wie Container innerhalb eines Containers, dem verschlüsselten Volume.